Accordo sul Trattamento dei Dati (DPA)

Ultimo Aggiornamento: 15 luglio 2025 In conformità con l’Art. 28 GDPR Tra

il Cliente (il “Titolare del Trattamento”)
itellico AI GmbH, Postgasse 19, A-1010 Vienna, Austria (il “Responsabile del Trattamento”)

Preambolo

Il presente Accordo sul Trattamento dei Dati (DPA) regola i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali per l’esecuzione del contratto di servizio concluso tra le parti (“Contratto Principale”).

1. Oggetto, Durata e Specificazione del Trattamento dei Dati

1.1 Oggetto

L’oggetto del trattamento dei dati è la fornitura dei servizi definiti nel Contratto Principale.

1.2 Natura e Finalità del Trattamento

Il trattamento serve esclusivamente a fornire i servizi definiti nel Contratto Principale.

1.3 Natura dei Dati Personali

Dati di Contenuto:
- Dati vocali e audio da tutte le interazioni
- Contenuto delle conversazioni in forma testuale (trascrizioni)
- Tutti i dati e contenuti forniti dal Titolare del Trattamento ai sensi del Contratto Principale
- Tutti i dati e le informazioni forniti volontariamente dall’utente finale
Dati di Contatto (se forniti dall’utente finale):
- Numero di telefono (come parte dei dati di connessione)
- Nome (se fornito attivamente dall’utente finale, in quanto non viene richiesto proattivamente)
- Indirizzo email (se fornito attivamente dall’utente finale, in quanto non viene richiesto proattivamente)
Dati di Utilizzo (Metadati per fatturazione e analisi):
- Identificatori unici (ad es., Call ID, Session ID)
- Timestamp e durata dell’interazione
- Consumo di token (per servizi basati su AI e scopi di fatturazione)
- Parametri tecnici della trasmissione
- Indirizzo IP

1.4 Categorie di Interessati

Utenti finali del Titolare del Trattamento (ad es., clienti, potenziali clienti) che interagiscono con l’assistente vocale AI.

1.5 Durata del Trattamento

La durata del trattamento corrisponde alla durata del Contratto Principale.

2. Obblighi del Responsabile del Trattamento

2.1 Trattamento su Istruzioni

Il Responsabile del Trattamento tratterà i dati personali esclusivamente in base alle istruzioni documentate del Titolare del Trattamento, a meno che non sia richiesto dalla legge. L’utilizzo dei servizi definiti nel Contratto Principale da parte del Titolare del Trattamento costituisce tale istruzione.

2.2 Riservatezza

Il Responsabile del Trattamento garantirà che le persone autorizzate al trattamento dei dati personali siano impegnate alla riservatezza.

2.3 Misure Tecniche e Organizzative (TOM)

Il Responsabile del Trattamento adotterà tutte le misure richieste ai sensi dell’Art. 32 GDPR per la sicurezza del trattamento. Le TOM specifiche implementate sono elencate nell’Appendice al presente accordo.

2.4 Nessun Utilizzo per l’Addestramento AI

Il Responsabile del Trattamento garantisce che per il trattamento dei dati di contenuto come dati vocali e testuali (ad es., per trascrizione, generazione di contenuti e sintesi vocale), utilizza esclusivamente API di sub-responsabili che garantiscono contrattualmente che i dati inviati non vengono utilizzati per l’addestramento di modelli AI. Questo si applica a tutti i fornitori utilizzati ad eccezione di Cartesia. Il trattamento viene effettuato in conformità con le rispettive disposizioni sulla protezione dei dati dei fornitori utilizzati e gli obblighi stabiliti nel presente accordo.

3. Sub-responsabili

3.1 Utilizzo di Sub-responsabili

Il Titolare del Trattamento concede un’autorizzazione generale per l’utilizzo di sub-responsabili per fornire i servizi contrattuali. Il Responsabile del Trattamento mantiene e tiene aggiornato un elenco di tutti i sub-responsabili impegnati su https://itellico.ai/legal/data-processors/.

3.2 Obblighi Contrattuali e Garanzie

Il Responsabile del Trattamento garantirà, mediante la conclusione di contratti (tipicamente gli accordi standard sul trattamento dei dati dei fornitori), che ogni sub-responsabile sia soggetto a obblighi di protezione dei dati sostanzialmente equivalenti a quelli stabiliti nel presente DPA (in conformità con l’Art. 28(4) GDPR).

3.3 Trasferimenti verso Paesi Terzi

Per i sub-responsabili situati al di fuori dell’UE/SEE, il Responsabile del Trattamento garantirà che sia in atto un livello adeguato di protezione dei dati, ad esempio, mediante certificazione ai sensi dell’EU-US Data Privacy Framework (ove applicabile) o mediante la conclusione di Clausole Contrattuali Standard UE (SCC) e l’implementazione delle necessarie garanzie aggiuntive.

3.4 Informazioni e Diritto di Opposizione

Il Responsabile del Trattamento informerà il Titolare del Trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri sub-responsabili almeno 15 giorni prima dell’impegno pianificato, dando così al Titolare del Trattamento l’opportunità di opporsi per importanti motivi di protezione dei dati.

4. Diritti dell’Interessato

Il Responsabile del Trattamento assisterà, per quanto possibile, il Titolare del Trattamento con appropriate misure tecniche e organizzative nell’adempimento dei suoi obblighi riguardanti i diritti degli interessati (ad es., accesso, rettifica, cancellazione).

5. Assistenza al Titolare del Trattamento

Il Responsabile del Trattamento assisterà il Titolare del Trattamento nel garantire la conformità ai suoi obblighi ai sensi degli Articoli 32-36 del GDPR (Sicurezza del trattamento, Notifica di una violazione dei dati personali, Valutazione d’impatto sulla protezione dei dati).

5.1 Notifica delle Violazioni dei Dati

Il Responsabile del Trattamento notificherà al Titolare del Trattamento qualsiasi violazione dei dati personali senza indebito ritardo dopo esserne venuto a conoscenza, in conformità con l’Art. 33(2) GDPR. La notifica sarà effettuata non oltre 24 ore dopo essere venuti a conoscenza della violazione a privacy@itellico.ai.

6. Conservazione e Cancellazione dei Dati

6.1 Trattamento Durante la Durata dell’Accordo

Conservazione Standard dei Dati di Contenuto e di Contatto: Finché il Contratto Principale è attivo, i dati di contenuto (ad es., registrazioni, trascrizioni, basi di conoscenza, impostazioni) e i dati di contatto associati vengono conservati per il Titolare del Trattamento come parte del servizio concordato e non vengono automaticamente cancellati.
Trattamento dei Dati Configurabile: Il Titolare del Trattamento può controllare il trattamento di vari tipi di dati tramite le impostazioni della piattaforma:
- Trattamento Flessibile: Il Titolare del Trattamento può configurare le impostazioni di conservazione per vari tipi di dati con le seguenti categorie:
  - Impostazioni Completamente Configurabili: Alcuni tipi di dati possono essere completamente disabilitati (Zero Retention) o assegnati periodi di conservazione liberamente configurabili (ad es., registrazioni delle chiamate, analisi automatiche post-chiamata come riepiloghi).
  - Impostazioni di Conservazione Minima: Altri tipi di dati sono soggetti a periodi di conservazione minimi come definito altrove nel presente DPA per scopi operativi e legali, ma possono essere configurati per periodi di conservazione più lunghi oltre questi minimi (ad es., trascrizioni, prompt di sistema, log delle chiamate API).
- Conservazione Minima: Gli indirizzi IP vengono conservati per 30 giorni per la sicurezza IT e la prevenzione delle frodi e vengono poi cancellati o anonimizzati. I numeri di telefono e altri metadati tecnici vengono conservati per un massimo di 90 giorni dopo la fatturazione per conformarsi alle normative sulle telecomunicazioni e vengono poi automaticamente cancellati o anonimizzati.
- Monitoraggio Abusi e Difesa Legale: In conformità con gli standard del settore, alcuni dati vengono conservati per un massimo di 30 giorni per identificare abusi e garantire la conformità con le politiche di utilizzo:
  - Prompt di sistema e contesto conversazionale: conservati per un massimo di 30 giorni per il rilevamento degli abusi e l’analisi dei pattern
  - Trascrizioni delle conversazioni ed eventi: conservati per un massimo di 30 giorni per monitorare la conformità con le politiche della piattaforma
  - Log delle chiamate API e chiamate di funzione: conservati per un massimo di 30 giorni per indagini tecniche e risoluzione delle controversie
  - Questo periodo di conservazione si applica indipendentemente dalle impostazioni di conservazione configurate dal cliente e serve interessi aziendali legittimi nel prevenire abusi della piattaforma e difendersi da potenziali violazioni segnalate dai fornitori di servizi AI.
- Conservazione Legale: I metadati rilevanti per la fatturazione devono essere conservati in conformità con gli obblighi legali e non possono essere cancellati prematuramente.
Limiti della Configurabilità: I periodi di conservazione per i dati di contenuto configurabili dal Titolare del Trattamento non possono essere più brevi dei periodi di conservazione minimi per i metadati definiti dal Responsabile del Trattamento nella Sezione 6.3. La generazione e la conservazione di metadati rilevanti per la fatturazione e altri metadati da parte del Responsabile del Trattamento rimangono inalterati dalle impostazioni specifiche del cliente.

6.2 Cancellazione dei Dati di Traffico e Altri Dati Personali

Cancellazione Automatica dei Dati di Traffico secondo § 167 TKG 2021: Il Responsabile del Trattamento cancella o anonimizza automaticamente i dati di traffico (numeri di telefono, timestamp esatti, ID chiamata) secondo i seguenti programmi:

Prepagamento/Prepagato: Per le chiamate coperte da prepagamenti o contratti annuali, la cancellazione avviene 90 giorni dopo la data della chiamata. - Post-Fatturazione: Per le chiamate fatturate successivamente, la cancellazione avviene 90 giorni dopo la data di fatturazione.

Cancellazione e Restituzione dopo la Fine del Contratto o su Richiesta: Dopo la Fine del Contratto: Al termine della fornitura dei servizi di trattamento (ossia, dopo la risoluzione del Contratto Principale), il Responsabile del Trattamento è obbligato a cancellare irrevocabilmente tutti i dati di contenuto e di contatto rimanenti dopo un periodo di 90 giorni, incluse tutte le copie esistenti. Su Istruzione del Titolare del Trattamento: A scelta del Titolare del Trattamento, il Responsabile del Trattamento (a) restituirà tutti i dati personali al Titolare del Trattamento o (b) cancellerà irrevocabilmente tutti i dati personali e le copie esistenti, a meno che la conservazione non sia richiesta dalla legge dell’UE o degli stati membri. I metadati rilevanti per la fatturazione devono continuare a essere conservati in conformità con i periodi di conservazione legali.

6.3 Conservazione dei Metadati

La conservazione dei metadati è vincolata allo scopo e differenziata per tipo di dati:

Metadati Rilevanti per la Fatturazione: Per conformarsi agli obblighi legali di contabilità e documentazione (ad es., 7 anni secondo § 212 UGB in Austria), i metadati rilevanti per la fatturazione (ad es., Customer ID, durata, consumo di token) vengono conservati per la durata dei periodi legali.
Dati Anonimizzati: Dopo completa anonimizzazione, i dati possono essere conservati indefinitamente per analisi statistiche e miglioramento del prodotto, in quanto non hanno più alcun riferimento personale.

7. Diritti di Audit

Il Titolare del Trattamento ha il diritto di verificare la conformità del Responsabile del Trattamento con le disposizioni del presente accordo. Tali ispezioni saranno annunciate con ragionevole preavviso e condotte durante il normale orario lavorativo. Il Responsabile del Trattamento può anche fornire prove di conformità presentando certificati, rapporti o attestati appropriati e aggiornati da revisori indipendenti (ad es., revisori, responsabili della protezione dei dati, certificazioni di sicurezza).

Appendice – Misure Tecniche e Organizzative (TOM)

Al: 15 luglio 2025 Le seguenti sono le misure tecniche e organizzative effettive implementate dal Responsabile del Trattamento per garantire la sicurezza del trattamento dei dati.

1. Controllo dell’Accesso Fisico

Data Center: AWS Frankfurt (eu-central-1) con conformità GDPR.
Accesso: Controlli biometrici e monitoraggio 24/7 dal data center AWS.

2. Controllo dell’Accesso al Sistema

Amministratori: L’autenticazione multi-fattore (MFA) è obbligatoria.
Applicazioni: Autenticazione API basata su token.
Principio: Rigoroso controllo dell’accesso basato sui ruoli (RBAC).

3. Controllo dell’Accesso ai Dati (Permessi)

Database: Accesso esclusivamente dall’interno del cluster Kubernetes protetto.
Archiviazione: Politiche granulari dei bucket S3 secondo il principio del privilegio minimo.
Segreti: Utilizzo di AWS Secrets Manager per tutte le credenziali.

4. Controllo della Separazione

Tenant: Rigorosa separazione logica dei tenant a livello applicativo. Ad ogni tenant viene assegnato un ID unico (UUID) che viene validato su ogni richiesta di accesso ai dati. Questo garantisce che le query possano restituire solo dati appartenenti al rispettivo tenant.
Ambienti: Virtual Private Cloud (VPC) separate per i sistemi di sviluppo e produzione.
Container: Namespace Kubernetes per l’isolamento dei servizi.

5. Pseudonimizzazione e Crittografia

Dati in Transito: TLS 1.3 per tutti i trasferimenti di dati.
Dati a Riposo: Crittografia AES-256 per lo storage S3 e i backup.
Pseudonimizzazione: Applicata a specifici dati personali dove necessario.

6. Controllo della Disponibilità

Alta Disponibilità: Distribuzione Multi-AZ su almeno 3 Zone di Disponibilità.
Backup: Backup automatici regolari con periodi di conservazione appropriati.
Monitoraggio: Monitoraggio delle prestazioni del sistema 24/7 con avvisi automatizzati.

7. Controllo dell’Input (Logging)

Log di Sistema: Utilizzo di AWS CloudTrail per tutte le chiamate API.
Log di Accesso: Registrazione completa di tutti gli accessi ai dati sensibili.
Audit: Log di audit Kubernetes per tracciare le attività dei container.

8. Controllo del Lavoro (Conformità)

Processi: Procedure Operative Standard (SOP) documentate per operazioni critiche.
Gestione dei Cambiamenti: Infrastruttura versionata (Infrastructure-as-Code).
Formazione: Formazione regolare sulla protezione dei dati e sicurezza per tutti i dipendenti pertinenti.

Primi passi

Creare

Testare

Lanciare

Ottimizzare

Account e subaccount

Rete di partner

Note legali

​Accordo sul Trattamento dei Dati (DPA)

​Preambolo

​1. Oggetto, Durata e Specificazione del Trattamento dei Dati

​1.1 Oggetto

​1.2 Natura e Finalità del Trattamento

​1.3 Natura dei Dati Personali

​1.4 Categorie di Interessati

​1.5 Durata del Trattamento

​2. Obblighi del Responsabile del Trattamento

​2.1 Trattamento su Istruzioni

​2.2 Riservatezza

​2.3 Misure Tecniche e Organizzative (TOM)

​2.4 Nessun Utilizzo per l’Addestramento AI

​3. Sub-responsabili

​3.1 Utilizzo di Sub-responsabili

​3.2 Obblighi Contrattuali e Garanzie

​3.3 Trasferimenti verso Paesi Terzi

​3.4 Informazioni e Diritto di Opposizione

​4. Diritti dell’Interessato

​5. Assistenza al Titolare del Trattamento

​5.1 Notifica delle Violazioni dei Dati

​6. Conservazione e Cancellazione dei Dati

​6.1 Trattamento Durante la Durata dell’Accordo

​6.2 Cancellazione dei Dati di Traffico e Altri Dati Personali

​6.3 Conservazione dei Metadati

​7. Diritti di Audit

​Appendice – Misure Tecniche e Organizzative (TOM)

​1. Controllo dell’Accesso Fisico

​2. Controllo dell’Accesso al Sistema

​3. Controllo dell’Accesso ai Dati (Permessi)

​4. Controllo della Separazione

​5. Pseudonimizzazione e Crittografia

​6. Controllo della Disponibilità

​7. Controllo dell’Input (Logging)

​8. Controllo del Lavoro (Conformità)